La vetrina del Cybertech Europe 2025 di Roma è stata centrale per sviluppare le immediate evoluzioni di questo mondo. Ne abbiamo parlato con Luca Nilo Livrieri, responsabile della struttura di prevendita del sud Europa di CrowdStrike.
In questo contesto è necessaria una premessa: vista con gli occhi dell’AI, l’infrastruttura aziendale è oggi un grosso punto cieco. Come è successo molti anni fa con le applicazioni, non si sa bene cosa stia girando in azienda e come queste componenti hardware e software reagiscano all’AI.
Spesso neanche le aziende più strutturate sono pronte a questo tipo di visibilità e governance: è intorno a questa criticità che si sviluppa la strategia agentica di CrowdStrike.
Il SOC agentico
“Il principale focus di quest’anno è la costruzione di un SOC agentico – spiega Livrieri -; CrowdStrike si propone come leader nella sicurezza dell’intelligenza artificiale, affiancando le aziende verso la realizzazione di un Security Operations Center basato su agenti AI”. Questa transizione rappresenta un cambio di paradigma nella difesa cyber, dove gli analisti vengono potenziati da un esercito di agenti intelligenti che accelerano detection, investigazione e risposta agli incidenti. Inoltre, “il Response Collaboration Agent agisce trasversalmente, per coordinare la comunicazione tra tutti gli altri agenti attraverso logiche MCP per fornire una risposta integrata e veloce”.
I plus di CrowdStrike
CrowdStrike si differenzia nel mercato per diversi elementi. Il suo know-how punta direttamente sull’avversario anziché sull’attacco, maturato in oltre dieci anni di esperienza di threat intelligence. L’approccio a grafo, l’enterprise graph, è un nuovo approccio architetturale basato su un data lake ottimizzato per gli agenti AI.
Gli agenti sono già configurati con guardrail e flussi di sicurezza, rappresentando un lavoro preliminare che facilita l’adozione. Questo approccio di pre-elaborazione può essere visto come un vantaggio rispetto alla necessità di costruire tutto da zero. Pone attenzione all’uso dell’AI in azienda, assicurando che sia normata e autorizzata (quindi non Shadow).
Uno dei problemi principali che i clienti, anche i più maturi, richiedono di risolvere è avere visibilità su cosa stanno usando i dipendenti in termini di AI. Il problema è analogo a quello dello Shadow IT vissuto anni fa con le applicazioni: le aziende devono avere come priorità la visibilità delle applicazioni che vengono utilizzate.
Va poi rimarcato che spesso le aziende non sanno quali applicazioni AI vengono utilizzate dai propri dipendenti. Attraverso l’acquisizione di Pangea, CrowdStrike offre un’estensione sul browser che monitora l’utilizzo delle applicazioni AI da parte degli utenti, mostrando gli utenti, i modelli impiegati e i nomi delle applicazioni. Nei casi più avanzati, è possibile creare flussi d’uso personalizzati.
Next Generation Identity Security
Tra i dati chiarificatori c’è una statistica: nell’81% degli attacchi non c’è malware, perché vengono usate identità rubate dagli attaccanti in attacchi precedenti. La next-gen identity security spinge in avanti il concetto di protezione cross-layer delle identità. Con Fal.Con Data Protection si completa la triade degli asset fondamentali da proteggere in un’azienda: identità, dati e workload, quest’ultimi intesi come endpoint, cloud e qualsiasi device dove viene fatta un’operazione.
Tre pillar strategici
Parlando degli annunci, gli ultimi si concentrano su tre aree fondamentali: una piattaforma agentiva, governance/protezione e, infine, architettura.
Gli agenti sono sempre più adatti ad accelerare e agevolare il lavoro degli analisti fin dalle fasi di onboarding dei dati. “Anche grazie all’acquisizione di Onum, che migliora la fase di data ingestion, abbiamo agenti che coprono le diverse fasi di detection, investigazione e risposta, risparmiando circa 5 minuti per una detection e 10 minuti per un’analisi e investigazione”, precisa il manager.
Nella protezione sono proposti due use cases: governance (uso, modelli e prompt) con filtro data loss prevention per evitare i dati confidenziali nei prompt e protezione dei modelli AI (da prompt injection o data poisoning).
Va sottolineato che la piattaforma AI di CrowdStrike ha presentato un layer architetturale nuovo. Il data lake di partenza si chiama Enterprise Graph e fa da base per Charlotte, il cervello AI di CrowdStrike che sfrutta tutti gli agenti, ognuno con una funzionalità diversa.
L’approccio agentico
La proposta CrowdStrike comprende già sette agenti predefiniti, che dialogano con orchestrazione data dal protocollo MCP (Model Context Protocol). Uno degli agenti più interessanti è quello della generazione in linguaggio naturale dei workflow. L’analista riesce a comunicare al SOAR (Security Orchestration, Automation and Response) integrato nella piattaforma quale remediation effettuare, e l’agente realizza il workflow in linguaggio naturale, riducendo drasticamente il tempo di risposta.
Oltre agli agenti predefiniti, CrowdStrike ha creato Agent Works, una soluzione che consente la realizzazione di agenti in linguaggio naturale senza necessità di codice o esperienza specifica in AI. Gli agenti personalizzati si basano sulla telemetria e sull’intelligence della piattaforma rafforzando così la capacità di risposta dinamica.
I sette agenti d’oro
CrowdStrike ha rilasciato sette agenti principali, ciascuno dedicato a specifiche funzionalità del workflow di sicurezza e integrato con i rispettivi moduli della piattaforma.
- Exposure Prioritization Agent (per Exposure Management). Fornisce riepiloghi delle vulnerabilità in linguaggio naturale, conferma l’exploitability e la significatività, stabilendo le priorità.
- Malware Analysis Agent (Adversary Intelligence Premium). Scompone il malware nei suoi componenti, ne determina la pericolosità e sviluppa regole di detection con il linguaggio di pattern matching Yara.
- Hunt Agent (Adversary Intelligence Premium). Gestisce il threat hunting dando priorità ai rischi maggiori e fornisce i passi successivi basati sui risultati.
- Search Analysis Agent (Next-Gen SIEM). Fornisce risposte a domande in linguaggio naturale tenendo conto delle relazioni tra i dati.
- Correlation Rule Generation Agent (Next-Gen SIEM). Sviluppa regole di detection che vengono poi testate nell’ambiente.
- Data Transformation Agent (Fusion SOAR). Normalizza i dati di sicurezza, descrivendo la trasformazione desiderata in linguaggio naturale.
- Workflow Generation Agent (Fusion SOAR). Usa Charlotte AI per tradurre i passi descritti in linguaggio naturale in workflow SOAR.
Gli agenti di CrowdStrike collaborano fra loro attraverso un sistema basato su logiche di MCP (Model Context Protocol). Esiste un Collaboration Agent che coordina la comunicazione tra gli agenti, permettendo loro di richiedere job reciprocamente e invocarsi per ottenere una completa risposta agentica.
Le logiche di collaborazione permettono agli agenti di chiamarsi e invocarsi per fornire nel tempo più veloce possibile tutte le informazioni rispetto all’attaccante, alle detection, all’investigazione ed eventuali altre situazioni da risolvere all’interno della rete, come la presenza di altre vulnerabilità.
Tutti gli agenti sono in continua evoluzione e operano con guardrail di sicurezza che ne limitano le azioni a quanto strettamente necessario per le loro funzioni specifiche.